Mit ein Grund, wieso es zu einer solchen Nachlässigkeit mit alten Datenbeständen kommt, ist der, dass lange unklar war, wie damit zu verfahren ist.
Es wird einem Datenschutzbeauftragten eines Unternehmens klar sein, dass nicht mehr erforderliche Daten gelöscht werden müssen. Es ist ein zentraler Grundsatz des Bundesdatenschutzgesetzes (§ 35 BDSG), dass Daten gelöscht werden müssen, wenn der Zweck der Erhebung wegfällt.
Die Frage war nur lange, wie diese Löschung vorgenommen werden sollte.
In Anpassung an die Erfordernisse der digitalen Datenträger wurde nunmehr eine deutsche Industrienorm (DIN) entwickelt, die DIN 66399, welche am 01. Oktober 2013 veröffentlicht wird.
Sie enthält Sicherheitskonzepte, die eine datenschutzkonforme Vernichtung ermöglichen. Diese wurden auch weitgehend vom Bundesamt für Sicherheit in der Informationstechnik in seinen technischen Leitlinien (TL 03420) und in den BSI-Grundschutzkatalog übernommen (M 2.167)
In diesem Normenkatalog vollzieht sich eine zweifache Sicherheitseinstufung der zu löschenden Daten, an die anschließend entsprechende Voraussetzungen für die Vernichtung der jeweils verschiedenen Datenträger geknüpft werden
Zuerst werden die Datenbestände in drei Schutzklassen eingeteilt. Schutzklasse 1 umfasst einfache Unternehmensinterna, Schutzklasse 2 vertrauliche Daten, wie z. B. Finanzbuchhaltungsunterlagen und Schutzklasse 3 umfasst geheime Daten, wie z. B. Forschungs- und Entwicklungsunterlagen eines Unternehmens, oder der gesetzlichen Schweigepflicht unterliegende Daten.
Ist die Schutzklasse definiert, wird eine Sicherheitsstufe für die Vernichtung der Datenträger festgelegt. Es existieren die Sicherheitsstufen 1 bis 7, die festlegen, wie sicher eine Reproduktion der zu vernichtenden Daten ausgeschlossen werden soll.
Die in drei Teile aufgespaltete DIN 66399 erläutert dabei nicht nur, wie die konkrete physische Vernichtung vollzogen werden soll. Es finden sich auch organisatorische Regeln für den Ablauf der Vernichtung.
Es wird beispielsweise auch geregelt, wie der Kontakt zwischen Vernichtungsdienstleister und den Datenträgern auszusehen hat bzw. wie diese übergeben werden müssen oder wie der Betrieb des Vernichtungsdienstleisters gesichert sein muss.
Mit Veröffentlichung dieser DIN werden Pflichten, die das BDSG den einzelnen Unternehmen auferlegt, konkretisiert. Das betrifft auch die Pflicht der Datenschutzbeauftragten vieler Unternehmen, eine Vernichtung von Datenträgern sicherzustellen, die dem Standard der DIN 66399 genügt. Da die Vernichtung regelmäßig einem Dritten übertragen wird, liegt eine sog. Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor. Das heißt unter anderem, dass ein Dritter im Auftrag eines Anderen mit dessen Daten eine Verarbeitung vornimmt. Unter Verarbeitung fällt auch das Vernichten, weil dies dem Löschen gem. § 3 IV Nr. 5 BDSG gleichkommt.
Den einzelnen Unternehmer trifft mit der neuen DIN die Pflicht, sicherzustellen, dass seine Datenträger nach dem aktuellen Standard vernichtet werden. Als probates Mittel erweist sich hier die Auftragsdatenverarbeitung mit einem entsprechenden Dienstleister.
Die Vernichtung seiner Datenträger nicht nach diesem neuen Standard zu veranlassen birgt, wie im Datenschutzrecht üblich, die Gefahr von Bußgeldern. Erheblicher kann jedoch das gestiegene Interesse der Öffentlichkeit sein, welches im Fall einer Datenpanne wesentlichen Schaden am Ruf des Unternehmens auslösen kann.
Das Datenschutzrecht hat daher eine erhebliche Relevanz für die Organisation des betrieblichen Alltages. Damit betrifft das Datenschutzrecht insbesondere den Bereich der Compliance im Unternehmen.
Fazit:
Jedes Unternehmen sollte daher schnellstens überprüfen, ob die Löschung der Daten nach dieser neuen DIN-Norm auch umgesetzt wird bzw. entsprechende Dienstleister danach fragen.
Weitere Informationen unter:
http://www.webvocat.de
DIN 66399 – Ein neuer Standard zur Vernichtung von Datenträgern ab 01.10.2013 hinzugefügt von Presse am
Alle Beiträge von Presse →
